Рисунок 37 SQL-запросы для смены автора публикаций

Также нужно создать сложный пароль для учетной записи «admin». Достаточно сложный пароль должен состоять из хаотичной комбинации заглавных и строчных букв, знаков и цифр не менее чем из 10-12 символов.

При Brute Force атаке на WordPress, производится огромное количество запросов к файлу авторизации «wp-login.php», и будет правильно обеспечить ему двойную защиту.

Если с сайтом работает один человек, и интернет-провайдер предоставляет статичный IP-адрес, рекомендуется разрешить доступ к директории «wp-admin» только с IP-адреса закрепленным за компьютером администратора сайта, заблокировав тем самым для всех остальных возможность авторизации. Для этого в директории «wp-admin» создаётся файл «.htaccess» следующего содержания (смотреть рисунок 38). В параметр IP прописывается IP адрес зарезервированный за компьютером администратора.



Рисунок 38 Конфигурационный файл для доступа с одного ПК

Если же, с сайтом работают несколько администраторов со статическими IP-адресами, можно добавить их в список (смотреть рисунок 39).

Рисунок 39 Конфигурационный файл для доступа нескольких пользователей

Благодаря этому, все пользователи с IP-адресами, не указанными в списке разрешенных, просто не получат доступа к директории «wp-admin» и, соответственно, не смогут провести Brute Force атаку файл «wp-login.php». Всем будет возвращаться ошибка 403.

Если провайдер выдает динамический IP-адрес, меняющийся с каждым новым подключением к Интернету, тогда этот способ не пройдет, так как «.htaccess» придется редактировать при каждом вашем подключении к Сети. С помощью все того же «.htaccess» можем установить дополнительную серверную HTTP-авторизацию.

В той же директории «wp-admin» создаются два файла: «.htaccess» и «.htpasswd». В первом будут храниться инструкции, во втором разрешенные данные для доступа к директории.

В «.htaccess» пишем следующее (смотреть рисунок 40 ).

Рисунок 40 Инструкции к выполнению

Где fullpath - полный путь к файлу «.htpasswd». Обратите на это должное внимание, так как это самая частая ошибка. Полный путь можно узнать у своего хостинг-провайдера или с помощью php-скрипта (смотреть рисунок 41).

Рисунок 41 Скрипт для отображения пути файла

Аналогичным образом закрываем файл «wp-login.php». Для этого в корневом.htaccess создаем запись следующего вида (смотреть рисунок 42).

Рисунок 42 Запрет на доступ к файлу «wp-login.php»

Файл «.htpasswd» можно использовать один и тот же. Он должен выглядеть следующим образом (смотреть рисунок 43).

Рисунок 43 Форма заполнения для файла «.htpasswd»

Где username - это имя разрешенного пользователя, а password - это пароль. Обратите внимание, что пароль хранится в зашифрованном виде. Поэтому, предварительно ваш пароль нужно зашифровать. Для использования нескольких пользователей с паролями, перечисляем их по порядку (смотреть рисунок 44).



Рисунок 44 Форма заполнения файла «.htpasswd» для нескольких пользователей

Для защиты подключения SSH будут предложены:

Отключите вход с правами Root.

Важным методом обеспечения безопасности является отключение прямого входа в систему с правами root через SSH. Это связано с тем, что вход в систему с правами root обеспечивает неограниченный доступ к системе, которым пользуются злоумышленники.

Чтобы отключить root-вход, редактируем файл конфигурации SSH:

$ sudo nano /etc/ssh/sshd_config

Затем находим строку с надписью PermitRootLogin и устанавливаем для нее значение no:

$ PermitRootLogin no

После внесения этого изменения перезапускаем службу SSH:

$ sudo systemctl restart ssh

Итак, вместо входа в систему root создаем отдельного пользователя с правами администратора и использовать sudo для выполнения задач.

Настройте SSH-порт.

По умолчанию SSH подключается к порту 22, который часто становится легкой мишенью для злоумышленников. Следовательно, чтобы предотвратить это, нужно изменить порт по умолчанию, чтобы добавить дополнительный уровень безопасности и сделать его менее предсказуемым.

Для этого сначала нужно отредактировать файл конфигурации SSH:

$ sudo nano /etc/ssh/sshd_config

Далее определяем строку, содержащую номер порта. Затем заменяем ее другим портом, предпочтительно за пределами хорошо известного диапазона (1-1024).

После внесения изменений мы перезапускаем службу SSH:

$ sudo systemctl restart ssh

Тем не менее, всегда нужно проверить, что новый порт открыт в конфигурации брандмауэра.

Отключите аутентификацию по паролю и включите аутентификацию по открытому ключу

Бесспорно, пароли играют важную роль в безопасности SSH. Однако использование SSH-ключей для аутентификации является более безопасным подходом из-за того, что SSH-ключи длиннее и их сложнее взломать, чем пароли.

Следовательно, для дальнейшего повышения безопасности, особенно от атак методом перебора на основе паролей, рассмотрим возможность полного отключения аутентификации по паролю и использования исключительно SSH-ключей для аутентификации, поскольку последние обеспечивают механизм двухфакторной аутентификации.

Сначала отредактируем файл конфигурации SSH:

$ sudo nano /etc/ssh/sshd_config

Затем найдем строку `PasswordAuthentication` и установим для нее значение `no`:

PasswordAuthentication no

После внесения этого изменения перезапускаем службу SSH:

$ sudo systemctl restart ssh

Очевидно, что аутентификация по SSH-ключу является более безопасным способом аутентификации, чем аутентификация на основе пароля. Теперь рассмотрим другой способ выполнить аутентификацию по открытому ключу и отключить аутентификацию по паролю.
Сначала настраиваем параметры в файле конфигурации SSH (`/etc/ssh /sshd_config`):

PasswordAuthentication no

PubkeyAuthentication yes

В результате эта конфигурация отключает аутентификацию на основе пароля и обеспечивает принудительное использование открытых ключей.

В рамках второго раздела дипломного проекта был подробно описан сценарий атаки на уязвимые узлы в локальной сети предприятия, начиная с этапа сканирования сети и заканчивая попытками обхода ограничений и получения административного доступа к системе. С помощью утилит Netdiscover и nmap проводилось сканирование сети и обнаружение открытых портов на целевой машине. Использование инструмента Wpscan позволило выявить потенциальные уязвимости на сайте, создать файлы с пользователями и паролями для последующей брутфорс-атаки.

Далее был проведен анализ текстового содержимого сайта с использованием утилиты Cewl для создания словаря паролей, который затем использовался в брутфорс-атаке на учетные записи WordPress. Этот процесс позволил демонстрировать методы обхода ограничений операционной системы Linux, например, использование редактора VI для изменения конфигурационных файлов и получения доступа к оболочке bash.

В реакции на обнаруженные уязвимости предложены методы повышения безопасности сайта на платформе WordPress, включая удаление стандартного пользователя "admin", создание сложных паролей и ограничение доступа к директории "wp-admin" только с определенных IP-адресов. Также предложены методы защиты подключения по SSH, такие как отключение входа с правами Root и использование аутентификации по SSH-ключу.

В целом, использование предложенных методов и рекомендаций способствует повышению безопасности сайта на платформе WordPress и защите от потенциальных кибератак, обеспечивая дополнительные защитные механизмы и укрепляя безопасность системы в целом.

3. Раздел охраны труда и техники безопасности

3.1 Мероприятия по охране труда и технике безопасности при работе с вычислительной техникой

Состояние рабочих мест определяет уровень организации труда в компании и формирует обстановку, в которой работники выполняют свои трудовые функции. Правила организации рабочего места регламентируются законодательными актами субъектов РФ, международными и государственными стандартами, трудовыми соглашениями. Рабочие места отличаются друг от друга по большому количеству признаков, и к ним предъявляются разные требования.

При организации рабочего места главной целью для работодателя является обеспечение качественного и эффективного выполнения сотрудником работ при полноценном использовании закрепленного за ним оборудования с соблюдением установленных сроков. В связи с этим к рабочему месту предъявляются требования организационного, технического, эргономического, санитарного, гигиенического и экономического характера.

Одними из важнейших требований при организации рабочего места являются обеспечение безопасных, комфортных условий для работы, пресечение возникновения профессиональных заболеваний и несчастных случаев. Работодателю необходимо организовать рабочие места, учитывая не только конкретный вид деятельности, квалификацию, но и индивидуальные физические и психологические особенности каждого работника.

Общие требования к организации рабочих мест регулируются Трудовым кодексом, санитарно-эпидемиологическими правилами и нормативами (СанПиН), а также другими правовыми документами.

В настоящее время действуют СанПиН 2.2.4.3359-16 «Санитарно-эпидемиологические требования к физическим факторам на рабочих местах», утвержденные Постановлением Главного государственного санитарного врача РФ от 21.06.2016 № 81 (предназначены для граждан, состоящих в трудовых отношениях, индивидуальных предпринимателей и юридических лиц). Этим документом установлены санитарно-эпидемиологические требования к физическим факторам неионизирующей природы на рабочих местах и источникам этих физических факторов, а также требования к организации контроля, методам измерения физических факторов на рабочих местах и мерам профилактики вредного воздействия физических факторов на здоровье работающих.

Регулярная работа за компьютером сопровождается постоянным влиянием множества вредных для здоровья факторов. Зачастую специалисты, проводящие больше 12 часов в день за экраном монитора, со временем начинают страдать от профессиональных заболеваний. Поэтому для всех без исключения офисных работников очень важна правильная организация рабочего места за компьютером.

В помещении, где сотрудники непрерывно находятся более двух часов, должно быть естественное освещение (СанПиН 2.2.4.3359-16). Исключение составляют помещения, которые разрешено размещать в цокольных и подвальных этажах при необходимости соблюдения технологического процесса. Окна в помещениях, где работают с компьютерами, должны быть ориентированы на север и северо-восток. Оконные проемы необходимо оборудовать регулируемыми жалюзи, внешними козырьками и пр. (СанПиН 2.2.2/2.4.1340-03).

При работе с компьютером с плоским монитором рабочее место должно иметь площадь не менее 4,5 кв. м, при использовании кинескопического монитора - не менее 6 кв. м. По истечении каждого часа работы помещение должно проветриваться (СанПиН 2.2.2/2.4.1340-03).

В подвальных помещениях запрещено использование ксероксов, принтеров и другой оргтехники, а для обычных офисов установлены соответствующие нормативы по расстоянию между техническими средствами (СанПиН 2.2.2.1332-03).

Помещения, где размещаются рабочие места с ПЭВМ, должны быть оборудованы защитным заземлением (занулением). Не следует размещать рабочие места с ПЭВМ вблизи силовых кабелей и вводов, высоковольтных трансформаторов, технологического оборудования, создающего помехи в работе ПЭВМ.

В помещениях, оборудованных ПЭВМ, должны проводиться ежедневная влажная уборка и систематическое проветривание после каждого часа работы на компьютере.

При размещении рабочих мест с ПЭВМ:

- расстояние между рабочими столами с видеомониторами (в направлении тыла поверхности одного видеомонитора и экрана другого видеомонитора) должно быть не менее 2 м;

- расстояние между боковыми поверхностями видеомониторов должно быть не менее 1,2 м.

Размещать рабочие столы следует таким образом, чтобы видеодисплейные терминалы были ориентированы боковой стороной к световым проемам и естественный свет падал преимущественно слева.

При выполнении творческой работы, требующей значительного умственного напряжения или высокой концентрации внимания, рабочие места с ПЭВМ рекомендуется изолировать друг от друга перегородками высотой 1,5 - 2 м.

Экран видеомонитора должен находиться на расстоянии 600 - 700 мм от глаз пользователя, но не ближе 500 мм с учетом размеров алфавитно-цифровых знаков и символов. Для удобства считывания документов можно применять подвижные подставки (пюпитры), которые размещаются в одной плоскости и на одной высоте с экраном.

При рядном размещении рабочих столов не допускается расположение экранов дисплеев навстречу друг другу из-за их взаимного отражения, в противном случае между столами следует устанавливать перегородки.

Клавиатуру нужно располагать на поверхности стола на расстоянии 100 - 300 мм от края, обращенного к пользователю, или специальной, регулируемой по высоте рабочей поверхности, отделенной от основной столешницы.

Рабочий стул (кресло) должен быть подъемно-поворотным, регулируемым по высоте и углам наклона сиденья и спинки, а также по расстоянию спинки от переднего края сиденья. При этом регулировка каждого параметра должна быть независимой, легко осуществляемой и иметь надежную фиксацию.

При выборе типа рабочего стула (кресла) следует учитывать рост пользователя, характер и продолжительность работы с ПЭВМ. Конструкция рабочего стула (кресла) должна обеспечивать поддержание рациональной рабочей позы при работе с ПЭВМ, позволять изменять позу с целью снижения статического напряжения мышц шейно-плечевой области и спины для предупреждения развития утомления. Поверхности сиденья, спинки и других элементов стула (кресла) должны быть полумягкими, с нескользящим, слабо электризующимся и воздухопроницаемым покрытием, обеспечивающим легкую очистку от загрязнений.

Рабочее место пользователя ПЭВМ целесообразно оборудовать подставкой для ног (ширина - не менее 300 мм, глубина - не менее 400 мм, регулировка по высоте в пределах до 150 мм и по углу наклона опорной поверхности подставки до 20°). Поверхность подставки для ног должна быть рифленой и иметь по переднему краю бортик высотой 10 мм.

На работах, проводимых сидя и не требующих физического напряжения, оптимальными параметрами микроклимата на рабочем месте являются (СанПиН 2.2.4.3359-16):

- температура воздуха в холодный период года - от 22 до 24 °С, в теплый период года - от 23 до 25 °С;

- относительная влажность воздуха на постоянных рабочих местах - 40 - 60 %, скорость движения воздуха - 0,1 м/с. Для повышения влажности воздуха в помещениях следует применять увлажнители воздуха.

Освещенность на поверхности стола в зоне размещения рабочего документа должна быть равна 300 - 500 лк (СанПиН 2.2.1/2.1.1.1278-03 «Гигиенические требования к естественному, искусственному и совмещенному освещению жилых и общественных зданий» (введены в действие Постановлением Главного государственного санитарного врача РФ от 08.04.2003 № 34)). Освещение не должно создавать бликов на поверхности экрана. Освещенность поверхности экрана не должна быть более 300 лк. Следует ограничивать неравномерность распределения яркости в поле зрения пользователя ПЭВМ, при этом соотношение яркости между рабочими поверхностями не должно превышать 3:1 - 5:1, а между рабочими поверхностями и поверхностями стен и оборудования - 10:1.

Коэффициент пульсации не должен превышать 5 %.

Для исключения бликов отражения в экране светильников общего освещения рабочий стол с ПК следует размещать между рядами светильников. При этом светильники должны быть расположены параллельно горизонтальной линии взгляда работающего.

Искусственное освещение в помещениях для эксплуатации ПЭВМ должно осуществляться системой общего равномерного освещения. В производственных и административно-общественных помещениях в случае преимущественной работы с документами следует применять системы комбинированного освещения (к общему освещению дополнительно устанавливаются светильники местного освещения, предназначенные для освещения зоны расположения документов). В качестве источников света при искусственном освещении нужно применять преимущественно люминесцентные лампы типа ЛБ и компактные люминесцентные лампы (КЛЛ). При устройстве отраженного освещения в производственных и административно-общественных помещениях допускается применение металлогалогенных ламп. В светильниках местного освещения используются лампы накаливания, в том числе галогенные. Для обеспечения нормируемых значений освещенности в помещениях для использования ПЭВМ следует проводить чистку стекол оконных рам и светильников не реже двух раз в год и выполнять своевременную замену перегоревших ламп. Окна в помещениях, где эксплуатируется вычислительная техника, преимущественно должны быть ориентированы на север и северо-восток. Оконные проемы должны быть оборудованы регулируемыми устройствами типа жалюзи, занавесей, внешних козырьков и др.

Печатающее оборудование, являющееся источником шума, следует устанавливать на звукопоглощающей поверхности автономного рабочего места пользователя. Если уровни шума от печатающего оборудования превышают нормируемые, оно должно быть расположено вне помещения с ПК. Помещения для выполнения основной работы с ПК не должны быть расположены рядом (смежно) с производственными помещениями с повышенным уровнем шума (мастерскими, производственными цехами и т. п.).

При выполнении основной работы на мониторах и ПЭВМ (диспетчерские, операторские, залы вычислительной техники и т. д.), где работают инженерно-технические работники, уровень шума не должен превышать 60 дБА, в помещениях операторов ЭВМ (без дисплеев) - 65 дБА, на рабочих местах в помещениях, где размещаются шумные агрегаты вычислительных машин - 75 дБА (СанПиН 2.2.4.3359-16).

При работе с ПЭВМ в режиме текста уровень ЭМП от включенного компьютера соответствует норме. Увеличение напряженности поля происходит во время работы с графической информацией, особенно при повышении четкости изображения на экране монитора. В ряде случаев интенсивность ЭМП создается внешними источниками (элементами системы электроснабжения здания, трансформаторами, воздушными линиями электропередач и т. п.). В связи с этим при установке персонального компьютера на рабочем месте он должен быть правильно подключен к электропитанию и надежно заземлен.

Для защиты работающих на соседних рабочих местах рекомендуется устанавливать между рабочими столами специальные защитные экраны, имеющие покрытие, поглощающее низкочастотное электромагнитное излучение.

Ионный состав воздуха должен содержать следующее количество отрицательных и положительных аэроионов:

- минимально необходимый уровень - 600 и 400 ионов в 1 куб. см воздуха;

- оптимальный уровень - 3000 - 5000 и 1500 - 3000 ионов
в 1 куб. см воздуха;

- максимально допустимый уровень - 50 000 ионов в 1 куб. см воздуха.

Контроль аэроионного состава воздуха помещений следует осуществлять непосредственно на рабочих местах в зонах дыхания персонала. Если в результате контроля аэроионного состава воздуха выявляется его несоответствие нормированным показателям, рекомендуется его нормализация.



Заключение

В рамках данного дипломного проекта были рассмотрены ключевые аспекты пентестирования как важной составляющей обеспечения информационной безопасности. Исследованы различные методы и техники пентестирования, осуществляемые с применением инструмента Kali Linux. Это позволило выявить наиболее эффективные подходы к выявлению уязвимостей в информационных системах.

Применение программы Kali Linux продемонстрировало высокую эффективность в симуляции атак на информационные системы, способствуя более глубокому пониманию потенциальных угроз и разработке мер по их предотвращению. Результаты проведенного пентестирования показали, что регулярное использование данных методов значительно повышает уровень безопасности информационных систем.

Особое внимание было уделено вопросу доступа к корневой директории, который предоставляет злоумышленнику полный контроль над файловой системой операционной системы. Это открывает возможность для внедрения вредоносного ПО, изменения системных настроек, доступа к конфиденциальной информации и нарушения работы системы. Поэтому защита доступа к корневой директории является крайне важной для обеспечения безопасности ОС.

Для предотвращения возможных атак на корневую директорию и обеспечения общей безопасности системы необходимо использовать сильные пароли, регулярно обновлять безопасность, контролировать доступ к файлам и директориям, а также применять средства защиты, такие как фаерволы. Только комплексный подход к обеспечению информационной безопасности может гарантировать эффективную защиту от потенциальных угроз и атак.



Список использованных источников

1. Федеральный закон от 10.01.2003 №24-ФЗ «Об информации, информатизации и защите информации».

2. ГОСТ " Информационная технология. Криптографическая защита информации. Допустимые объемы материала для обработки на одном ключе при использовании некоторых вариантов режимов работы блочных шифров в соответствии с ГОСТ Р 34.13-2015" от 2015 № 1323565.1.005-2017.

3. ГОСТ "Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей Часть6. Обеспечение информационной безопасности при использовании беспроводных IP-сетей" от 2020 № 59162-2020 2020.

4. ГОСТ 19.201-78 ЕСПД. Техническое задание. Требования к содержанию и оформлению.

5. ГОСТ Р " Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения" от 2015 № 53113.1-2008.

6. ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

7. Баланов А. Н. Защита информационных систем. Кибербезопасность. 1-е изд. изд. учебное пособие для СПО: 978-5-507-48808-7, 2024. 84 с.

8. Виды и источники угроз информационной безопасности [Электронный ресурс]. Режим доступа: http://infoprotect.net/note/vidyi_i_istochniki_ugroz_informacionnoy_bezopasnosti.

9. Глухов М. М., Круглов И. А., Пичкур А. Б., Черемушкин А. В. Введение в теоретико-числовые методы криптографии. 3-е изд., стер. изд. учебник для вузов: 978-5-507-47388-5, 2024. 396 с.

10. Грей Дж., Перевод: Яценков В. Социальная инженерия и этичный хакинг на практике. 978-5-97060-980-4, 2022. 226 с.

11. Нестеров С. А. Основы информационной безопасности. 3-е изд., стер. изд. учебник для вузов: 978-5-507-49077-6, 2024. 324 с. Белов Е. Б. Организационно-правовое обеспечение информационной безопасности [Текст]: учебное пособие Е. Б. Белов, В. Н. Пржегорлинский. М.: Академия, 2017. 336 с.: ил. - (Профессиональное образование).

12. Петренко В. И., Мандрица И. В. Защита персональных данных в информационных системах. Практикум. 52-е изд., стер. изд. учебное пособие для СПО: 978-5-8114-9038-7, 2022. 108 с.

13. Прохорова О. В. Информационная безопасность и защита информации. 5-е изд., стер. изд. учебник для вузов: 978-5-507-47517-9, 2024. 124 с.

14. Тиволт Д. Защита и укрепление Linux. 978-5-93700-220-4, 2023. 618 с.

15. Шаньгин В. Ф. Информационная безопасность компьютерных систем и сетей [Текст]: учебное пособие - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2021. 416 с. (Профессиональное образование).

16. Голубчиков, С.В. Уровни и правовая модель информационной безопасности / С.В. Голубчиков // Международный научно-практический журнал «Программные продукты и системы». - 2020.

17. Жук А.П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. 2-e изд. М.: ИЦ РИОР: НИЦ ИНФРА-М, 2019.

18. Конявский, В.А Развитие средств технической защиты информации / В. А. Конявский // Комплексная защита информации. Сборник материалов XII Международной конференции (13-16 мая 2020 г., Ярославль (Россия)). М., 2020.

19. Организационное и правовое обеспечение информационной безопасности [Текст]: учебник и практикум/ ред.: Т. А. Поляковой, А. А. Стрельцова. М.: Юрайт, 2021. ил.

20. Сердюк В. А. Организация и технологии защиты информации. Обнаружение и предотвращение информационных атак в автоматизированных систем предприятий. 2022.

Приложение 1

Основные команды Kali Linux

- Pwd - отобразить рабочую директорию;

- cd - сменить директорию;

- mkdir - создать директорию;

- touch - используется для создания файла;

- ls - отображение содержимого директории;

- cat - команда, которая конкатенирует и отображает файлы;

- less - отображает содержимое файлов;

- head - [n], где n - где n - это цифра, например head - 10, head - 50, эта команда отображает строки файла, а n - это количество строк;

- tail - [n] - отображает последние строки файла, в зависимости от количества указанных строк;

- tail -f - команда, которая будет обновлять информацию по мере появления новых строк в файле;

- cp - копирует файл;

- mv - перемещает или переименовывает файл;

- rm или rmdir - можно удалить файл и/или директорию.

Размещено на Allbest.ru

...